Faz sentido para configurar uma relação de confiança entre instâncias do Active Directory em empresas parceiras?
https://stackoverflow.com/questions/273496
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Se uma empresa muitas vezes exige que os usuários sejam criados no Active Directory de um parceiro, e vice-versa, faz sentido criar um relacionamento federado / confiável entre as instâncias do AD? Se assim for, o que deve ser considerado? A ACL para os usuários no AD parceiro ainda funcionam da mesma maneira? O que os riscos de segurança que isso exponha?
Obrigado!
KA
Update:
Eu aprendi que há uma maneira melhor de fazer isso por ter o próprio aplicativo verificar lojas de usuários. A melhor maneira de fazer isso é mover o aplicativo em um domínio confiável por ambos os armazenamentos de usuários. Eu já forneceu mais detalhes na minha resposta abaixo.
Solução
Sim, faz sentido se você quer tanto ser capaz de autenticar pessoas em vários domínios mulitple. Você tem que colocar o servidor que tem o aplicativo que você está alvejando em um domínio confiável por cada instância do AD que deseja usar para autenticação.
Outras dicas
Eu estive pesquisando esse um pouco mais, e eu encontrei uma boa solução. Uma vez que ambas as empresas tanto a necessidade de usar o mesmo sistema, o próprio sistema só precisa verificar se um usuário existe em qualquer uma das lojas de usuário (autenticação), e depois para a autorização no nível do sistema.
A idéia por trás dando ambas as empresas o acesso é sólido - Se estamos a trabalhar em conjunto e não tem uma maneira de fazer isso, tínhamos necessidade de recriar todos os usuários da empresa sem acesso no armazenamento do usuário conectado . Obviamente, isso seria uma bagunça total e um pesadelo de manutenção.
Eu descobri que no meu caso, ainda que ambos os anúncios estão na mesma WAN, é necessário ter uma federação formal ou confiança. Felizmente, já temos um domínio que é confiável entre as duas empresas, então eu só tenho que mover as aplicações utilizadas pelos parceiros para este domínio. Depois disso, é simplesmente uma questão de totalmente qualificar o sufixo DNS para indicar o AD sendo usado. ACLs específicas do aplicativo, em seguida, referenciar o armazenamento do usuário desejado.
